Безопасность по рецепту Microsoft: от UX-карт до изоляции ключей в облаке

Microsoft поделилась вторым отчётом о ходе инициативы Secure Future Initiative (SFI) — крупнейшего проекта в истории компании по обеспечению кибербезопасности и самого масштабного инженерного начинания такого рода. С момента запуска в конце 2023 года на работу по снижению рисков и устранению приоритетных уязвимостей было направлено усилий, эквивалентных 34 тысячам инженеров, трудящихся полный рабочий день на протяжении 11 месяцев.

Компания отмечает серьёзный прогресс в формировании культуры безопасности, включая пересмотр управленческих структур и развитие подходов к обучению сотрудников. Все работники Microsoft теперь имеют в своих планах развития цель, связанную с безопасностью, и почти все завершили обязательные курсы по основам безопасности и коду доверия. Более 50 тысяч сотрудников прошли обучение в Академии безопасности Microsoft.

Для повышения защищённости продуктов была создана и внедрена платформа Secure by Design UX Toolkit, которую протестировали 20 продуктовых команд и распространили на 22 тысячи сотрудников. Этот набор инструментов помогает встраивать безопасность прямо в процессы разработки, выявлять уязвимости на раннем этапе и расставлять приоритеты. Публичная версия доступна всем желающим.

На техническом уровне Microsoft существенно усилила защиту ключей подписи, задействованных в Entra ID и Microsoft Account. В сентябре 2024 года они были переведены в аппаратные модули безопасности и виртуализованные среды Windows с автоматической ротацией. Позже ключевые сервисы были перенесены в конфиденциальные виртуальные машины Azure. Эти меры направлены на устранение векторов атак, использованных в инциденте Storm-0558, произошедшем в 2023 году.

Улучшена способность выявлять и нейтрализовать угрозы: добавлено более 200 новых сигнатур для методов атак, которые теперь интегрируются в Microsoft Defender. Также благодаря партнёрству с исследовательским сообществом удалось заранее обнаружить 180 критичных уязвимостей в облачных сервисах и ИИ и ускорить процессы их устранения.

Отчёт охватывает и другие направления работы. Например, безопасность инфраструктуры теперь усиливается за счёт сетевой сегментации и новых решений вроде Network Security Perimeter и Azure Bastion Premium. Более 99% сетевых активов инвентаризированы и соответствуют обновлённым стандартам. В производственной среде более 4 миллионов управляемых идентификаторов ограничены по доступу к конкретным сетевым сегментам.

В области разработки 99% всех CI/CD-пайплайнов теперь проходят обязательную проверку при создании и верифицируются в течение суток. Для защиты веток производственного кода применяется многофакторная аутентификация с подтверждением физического присутствия. Внедрены стандарты безопасности логирования с двухлетним сроком хранения.

Компания подчёркивает, что достигнутый прогресс — это не финал, а только часть многолетнего пути. В работе остаются десятки целей, причём пять из них близки к завершению, по одиннадцати достигнут значимый прогресс. Это результат внедрения принципов Zero Trust, постоянной автоматизации, повышения прозрачности и сотрудничества с отраслью и клиентами.

Microsoft также продолжает участвовать в отраслевых инициативах вроде Secure by Design от CISA, подтверждая стремление к построению доверительной и безопасной цифровой среды. В компании уверены, что безопасность — это командная игра, требующая усилий не только разработчиков, но и всех участников экосистемы.